如果局域網中有一台計算機感染了病毒,那麼整個局域網就會存在所有計算機都被“傳染”病毒的危險。為了在局域網中控制普通計算機的接入安全,我們可以利用Win2008系統特有的網絡訪問保護功能,來禁止存在安全威脅的計算機自由接入局域網網絡,下面就是具體的實現操作步驟:
首先安裝網絡訪問保護功能;打開Win2008系統的“開始”菜單,從中依次選擇“程序”/“管理工具”/“服務器管理器”命令,從其後出現的服務器管理器窗口左側區域單擊“角色”節點選項,並在對應該節點的右側顯示區域單擊“添加角色”功能,打開角色添加向導窗口,依照提示將“網絡策略和訪問服務”項目選中,之後點擊“安裝”按鈕,再按向導默認設置完成網絡訪問保護功能的安裝任務;
其次創建健康安全標准;在進行這種操作時,我們可以先單擊系統任務欄中的“服務器管理器”按鈕,從彈出的服務器管理器窗口左側區域處逐一點選“角色”、“網絡策略和訪問服務”、“NPS”、“網絡訪問保護”、“系統健康驗證器”節點選項,再單擊目標選項右側區域中的“屬性”按鈕,打開安全健康驗證對話框,點選“配置”按鈕,選中常規的“防病毒應用程序已啟用”、“已為所有網絡連接啟用防火牆”、“防病毒程序為最新的”等幾種健康安全標准,以後任何需要連接到局域網中的計算機必須同時符合上面的健康標准,Win2008系統才會認為它是健康、安全的計算機;
接著創建安全驗證策略;在創建健康的安全驗證策略時,我們可以先將鼠標定位於服務器管理器窗口左側區域中的“網絡策略服務器”節點選項,再從目標節點下面逐一展開“策略”、“健康策略”分支,在目標分支下面再點選“新建”按鈕,從彈出的安全驗證策略對話框中將新的“策略名稱”設置為“健康計算機”,將“客戶端SHV檢查”參數設置為“客戶端通過了所有SHV檢查”,將“此健康策略中使用的SHV”參數選擇為“Windows安全健康驗證程序”,最後單擊“確定”按鈕結束健康的安全驗證策略創建操作;按照同樣的操作步驟,我們還可以創建一個不健康的安全驗證策略,只是在創建這種策略時,我們必須將“客戶端SHV檢查”參數選擇為“客戶端未能通過一個或多個SHV檢查”,其余參數都和上面相同就可以了;
下面創建新的網絡連接策略;將鼠標先定位於服務器管理器窗口左側區域處“網絡策略和訪問服務”節點上,並從該節點下面依次點選“NPS”、“策略”、“網絡策略”選項,從目標選項下面點選“新建”按鈕,此時系統屏幕上會出現一個如圖2所示的創建網絡連接策略向導窗口;在這裡將“策略名稱”參數設置為“健康連接”,將“網絡訪問服務器類型”選項選擇為“DHCP Server”,再從其後界面中單擊“添加”按鈕,同時將“選擇條件”選擇為先前創建好的“健康計算機”策略,再根據向導默認提示逐一點選“已授予訪問權限”、“僅執行計算機健康檢查”設置選項,最後再將“策略設置”參數設置為“NAP強制允許完全網絡訪問”,同時單擊“完成”按鈕結束網絡連接策略創建工作。再按照相同的操作步驟,我們創建一個“不健康連接”的網絡策略,只是在進行這種操作時,我們必須將“選擇條件”參數選擇為“不健康計算機”策略,並且將“策略設置”參數設置為“拒絕訪問”選項,其余參數跟上面一模一樣;
最後需要對DHCP服務功能進行設置;考慮到普通計算機在訪問網絡時,首先需要聯系局域網中的DHCP服務器,因此我們還必須設置好合適的DHCP服務參數,保證所有計算機的上網連接請求通過DHCP功能轉交給Win2008系統的網絡訪問保護功能進行處理。依次單擊服務器系統桌面中的“開始”/“程序”/“管理工具”/“服務器管理器”/“DHCP”選項,進入DHCP服務器控制台界面,打開目標作用域的屬性界面,點選該界面中的“網絡訪問保護”選項卡,在對應選項設置頁面中選中“對此作用域啟用”選項,同時選中“使用默認網絡訪問保護配置文件”,最後單擊”確定“按鈕執行設置保存操作。
完成上面的各項設置任務後,我們日後只需要將待接入到局域網網絡中的普通計算機設置成“自動獲得IP地址”,那麼該計算機的網絡連接就會受到Win2008系統網絡訪問保護功能的控制了,如此一來網絡病毒或木馬日後就不能通過局域網網絡隨意“傳染”給其他普通計算機了,此時整個局域網網絡的運行安全性就能得到有效保證了。